
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <title></title>

</head>

<body>

<font face="Arial,sans-serif"><font size="2">The new patch is attached.<br>

<br>

<span type="cite">Aleksey Sanin wrote:</span> </font></font>

<p><font face="Arial,sans-serif" size="2"> </font></p>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;"><font

 face="Arial,sans-serif" size="2"> Hi, Tej!<br>

  <br>

Thanks a lot for the work you are doing! I did a quick look other your <br>

patch and it looks pretty good and I'll try to review it other weekend.<br>

However, I've already spotted one big problem: the new files you've <br>

wrote still have my copyright string :) Probably it's a good idea to <br>

change it :) </font></blockquote>

<font size="2"><font face="Arial,sans-serif">ok, if you insist :).<br>

<br>

</font></font>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;"><font

 face="Arial,sans-serif" size="2">Also this is a large patch and I have

to ask you the usual<br>

question: are you and your company OK with releasing this code<br>

under MIT license as part of XMLSec library? I would appreciate<br>

if you can send a patch to AUTHORS and/or Copyright files (if needed).</font></blockquote>

<font size="2"><font face="Arial,sans-serif">This activity is approved

by my boss :). The main thing is that my<br>

colleagues, who are intimately involved with NSS &amp; mozilla know

about<br>

this.<br>

<br>

I've patched both files.... <br>

<br>

Wan-Teh, What do you think of the following addition to "Copyright"

file:<br>

<br>

<i><b>Portions of the Software were created using source code and/or

APIs<br>

governed by the Mozilla Public License (MPL). The MPL is available<br>

at <a class="moz-txt-link-freetext" href="http://www.mozilla.org/MPL/MPL-1.1.html">http://www.mozilla.org/MPL/MPL-1.1.html</a>. The MPL permits such<br>

portions to be distributed with code not governed by MPL, as long<br>

as the requirements of MPL are fulfilled for such portions.</b></i><br>

<br>

</font></font>

<blockquote type="cite"

 style="border-left: thin solid blue; padding-left: 10px; margin-left: 0pt;"><font

 face="Arial,sans-serif" size="2"><br>

  <br>

I also would like to post to the list the issues and questions for your

patch <br>

you've sent to me this morning. Also please find my comments interlaced<br>

with your text.<br>

  <br>

Aleksey<br>

  <br>

  <br>

Tejkumar Arora wrote:<br>

  </font>

  <blockquote type="cite" cite="mid3F036DA3.3030109@netscape.com"><font

 face="Arial,sans-serif" size="2">There are some hurdles to cross

before I can submit <br>

some more work: <br>

1) ability to import private key in p8 file. I've had very <br>

&nbsp; lengthy discussions on this with the NSS team. I'm currently <br>

&nbsp; trying a workaround. If the workaround fails, the backup <br>

&nbsp; plan is to use a pre-populated NSS db, and make changes to <br>

&nbsp; the test scripts for NSS. For appls&nbsp; that import CRLs, <br>

&nbsp; it looks like I might be forced to use a NSS db anyway <br>

&nbsp; (i.e. NSS_NoDB_Init isn't working). </font></blockquote>

  <font face="Arial,sans-serif" size="2"> Fine with me. I think it's a

right approach to use NSS keysdb<br>

for default NSS keys manager (see also 5c) from your list :) ). <br>

Thought I think that an ability to import PKCS#8 file would be nice.<br>

  <br>

  </font>

  <blockquote type="cite" cite="mid3F036DA3.3030109@netscape.com"><font

 face="Arial,sans-serif" size="2"> 2) NSS needs to expose a function to

convert an arbitrarily long <br>

&nbsp; decimal string to a DER integer (for finding certs by Issuer &amp; <br>

&nbsp; cert serial number) <br>

3) RSAOAEP support needs to be implemented in NSS <br>

4) Finding a cert by subject key id needs to be fixed in NSS <br>

5) I need to finish up <br>

&nbsp;&nbsp;&nbsp; a) pkcs12 file loading - I'll need help from NSS team on this. <br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; This isn't used by test harness now but need to do it. <br>

&nbsp;&nbsp;&nbsp; b) custom key store for NSS crypto lib (which will allow finding <br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keys/certs loaded from files, or pre-existing in NSS db <br>

&nbsp;&nbsp;&nbsp; c) sort out the issue of multiple token passwords, besides <br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; key file passwords <br>

&nbsp;&nbsp; d) finish up (except for rsa-oaep) key transport support (equivalent

of kt* kw* in src/openssl).<br>

    <br>

Aleksey, For your particular attention: <br>

1) I made some gratuitous changes (e.g. remove "Evp" from NSS function <br>

&nbsp; names) </font></blockquote>

  <font face="Arial,sans-serif" size="2"> Sure, this is a right thing to

do :)<br>

  </font>

  <blockquote type="cite" cite="mid3F036DA3.3030109@netscape.com"><font

 face="Arial,sans-serif" size="2"><br>

2) added error code to several error messages </font></blockquote>

  <font face="Arial,sans-serif" size="2"> Also a very good idea :)<br>

  </font>

  <blockquote type="cite" cite="mid3F036DA3.3030109@netscape.com"><font

 face="Arial,sans-serif" size="2"><br>

3) you had a comment about not being able to make PK11_GetBestSlot

work. <br>

&nbsp; Turns out that RIPEMD160-HMAC is not supported in NSS - there <br>

&nbsp; are symbols in the headers, but no code... that's when <br>

&nbsp; PK11_GetBestSlot returned NULL </font></blockquote>

  <font face="Arial,sans-serif" size="2"> Ha! I spent some time thinking

why it does not work :) <br>

  </font>

  <blockquote type="cite" cite="mid3F036DA3.3030109@netscape.com"><font

 face="Arial,sans-serif" size="2"> 4) The CRL you have in the example

file (signature-x509-crt-crl.xml) <br>

&nbsp; is signed by a CA cert, whose x509v3 extensions indicate that the <br>

&nbsp; cert is not to be used for CRL signing. NSS does strict checking, <br>

&nbsp; and importing the CRL failed. I had to get around it by passing a <br>

&nbsp; flag to bypass strict checks. It is probably a good idea to <br>

&nbsp; change your test harness to use a proper cert. </font></blockquote>

  <font face="Arial,sans-serif" size="2"> It's more difficult than it

sounds. I got this file from Merlin and I don't have<br>

private key or the signer cert/private key. Thus I doubt I can do

something abou this.<br>

Can you do following:<br>

&nbsp;&nbsp;&nbsp; - add XMLSEC_KEYINFO_FLAGS_X509DATA_SKIP_STRICT_CHECKS to keyinfo.h<br>

&nbsp;&nbsp;&nbsp; - add a command line option to the xmlsec command line tool to set

this flag<br>

&nbsp;&nbsp;&nbsp; in the xmlSecKeyInfoCtx for reading</font></blockquote>

<font size="2"><font face="Arial,sans-serif">done. by default, strict

checks are on. In the test harness, I turned<br>

off strict checks with --X509-skip-strict-checks (I know the name is

long ;) ).<br>

<br>

</font></font><font face="Arial,sans-serif"><font size="2">&nbsp;<span

 type="cite"

 style="-moz-user-select: all ! important; white-space: nowrap;">